数字时代,企业在充分利用各种数字技术带来红利的同时,数据安全成为摆在他们面前的巨大挑战,尤其是勒索软件攻击,给各个规模的企业带来了巨大的损失。
SecureWorks最新发布的《2023年威胁状况报告》显示,在2023年3月至6月的4个月时间里,勒索软件泄露网站上公布的受害者人数达到了前所未有的水平。Zscaler 安全威胁实验室发布的最新版《2023年全球勒索软件报告》中显示,截至2023年10月,全球勒索软件攻击数量同比增长37.75%,这表明全球企业组织面临更严峻的勒索软件威胁。
数据安全成为影响企业发展的绊脚石
数据的安全问题一直是影响各大企业业务发展的主要绊脚石,尤其是近年来受到以LockBit、ALPHV、CLOP等勒索软件为代表的勒索软件攻击,企业面临的安全形势更加严峻。
Zscaler 安全威胁实验室研究人员通过Zscaler覆盖全球的沙箱中观察到,勒索软件的有效攻击载荷激增了57.50%,而多数企业还没有为应对这种不断变化的威胁做好准备。Veeam在今年发布的《2023年勒索软件趋势报告》数据显示,85%的公司遭遇过至少一次勒索软件的攻击,大约有17%的企业在过去的12个月经历了4至5次,甚至6次以上的攻击。
除此之外,Akamai最近发布的一份报告同样显示,与 2021 年第四季度相比,2022 年第四季度医疗保健业受害者数是的增幅39%,制造业受害者数是的增幅42%。其中,65%的勒索软件受害者处于低营收范围,亚太地区及日本的勒索软件受害者数量增幅达到了204%,欧洲中东和非洲地区的勒索软件受害者数量增幅达到了77%。
Veeam亚太及日本地区高级技术专家Anthony Spiteri表示,在过去12月,勒索软件攻击的发生率非常高,攻击的复杂程度也相当高,这充分说明勒索软件攻击给数据安全带来了巨大的安全隐患。
Akamai北亚区技术总监刘烨同样表示,勒索事件已经成为各种规模企业面临的最大挑战。频率也会非常高,如果企业被勒索过一次,无论是否交了赎金,在三个月之内再次被勒索的概率是没有被勒索过企业的6倍。也就是说,企业只要被勒索过一次、再次被勒索的概率会非常大。
不难发现,勒索软件攻击已经成为摆在各大企业面前的主要安全挑战。
勒索软件的攻击形式正在发生明显变化
虽然很多企业针对勒索软件的攻击制定了一系列的防护措施,但是勒索软件的攻击形式也在发生着巨大的变化。
安全服务商Heimdal Security的安全研究人员分析了近一年来的勒索攻击典型案例后发现,各大勒索攻击团伙一直在不断改进攻击手法和模式,使得新一代勒索软件攻击变得更加复杂和更有针对性。他们认为,攻击模式APT化、攻击流程自动化、勒索软件智能化、多重勒索常态化等使得企业更加难以保护数据和应用。除此之外,勒索软件还在不断地改变攻击对象,例如他们还会攻击云上的数据和应用,以及企业并不常见的应用。
Zscaler发布的《2023年全球勒索软件报告》同样显示,攻击者正在不断调整和完善他们的攻击策略,利用泄露的源代码、智能化的攻击方案和新兴的编程语言来最大化他们的非法收益。
报告显示,2023年勒索软件攻击的主要特点包括:无加密勒索攻击的数量从2023年初开始快速增加;攻击者大量使用泄露的勒索软件源代码(如Babuk和Conti)以及泄露的构建程序(如LockBit)来发动攻击;勒索软件攻击者正在从C/ C++等语言转向新型的Golang和Rust语言,以优化加密速度和跨平台兼容性;勒索软件攻击者开始使用更高级的多态混淆来阻碍分析和逃避静态反病毒签名;勒索软件开发者已经从基于RSA的加密转向基于椭圆曲线的算法,包括Curve25519、NIST B-233和NIST P-521。
除此之外,勒索软件攻击的对象也在发生着改变。Akamai最发布的勒索软件攻击报告数据显示, 65%的被勒索企业是 “5千万美元之下营收”的公司。
之所以出现这样的结果,主要是跟这些公司的安全能力和安全防护意识有着紧密的关系。为什么会是这样呢?刘烨表示,大型公司对于安全的重视程度相对更高,企业中大都设置了专职的安全人员,并且会定期进行“渗透测试、红蓝对抗”。这样的企业对于勒索者并不是很好的目标攻击对象,虽然它们营收多、会更有钱,但是攻击难度将会更高。
牢记五大要素,减少勒索软件攻击面
面对勒索软件的攻击,企业应该如何确保数据安全呢。笔者认为,应该重点关注以下五个方面:
一要建立健全内部防护机制,并强化员工教育。之所以将建立机制和加强教育放在首位,是因大部分攻击并非技术问题,而是企业预防攻击的态度。实际上,很多勒索软件是通过攻击企业内部员工邮件等实现的。因此,要做好员工的教育工作,要把风险管理政策落实到每一个员工,防止在IT设备比较脆弱的环境下受到社会性攻击。企业要在公司内部建立数据保护的流程,打造端到端的风险管理的方案,包括最小权限、安全流程等,确保在受到攻击之后能够快速做出有效应对。
二要及时做好数据的备份。并确保备份数据的完整性与备份数据的及时恢复。虽然越来越多的企业开始重视备份工作,但时至今日仍然有很多的企业并没有做好端到端的备份。要做好备份,就需要采取一系列的措施,最重要的就是采用一些工具,确保在受到勒索软件攻击之后,能够快速并且完整的恢复数据。
三要确保备份数据的安全。企业要尽量拷贝多份备份数据、要做到数据离线副本、防篡改、异地存放等等。与此同时,要设置合理的数据保留策略,足以应对潜伏较长时间的勒索软件的攻击。
四是要及时更新系统和软件。企业一定要保证采用最新的系统软件,要确保新的安全补丁一旦发布,应尽快更新系统和应用,以确保尽量减少漏洞,防止新型勒索软件的攻击。
五是打造零信任的架构。要打造零信任架构,以此来保护内部应用程序,实现用户与应用程序之间的细粒度分段。同时,使用动态最小权限访问控制代理访问,以消除横向移动。